Назад | Перейти на главную страницу

Удалить права доступа к файлу с помощью icacls

Может ли кто-нибудь помочь мне удалить определенные группы безопасности из файла с помощью icacls?

У файла есть все настройки безопасности, унаследованные от папки, в которой находится файл. Поэтому я хотел бы удалить все группы из списка ACL файла, а затем назначить разные группы.

Как я могу этого добиться?

Во-первых, вам нужно удалить наследование объекта, что вы можете сделать, запустив: icacls file.txt /inheritance:d (где file.txt это файл, который вы хотите изменить).

Это удалит наследование, но скопирует унаследованные ACL в file.txt. Если вы уверены, что вам не нужны унаследованные списки ACL, вы можете просто использовать: icacls file.txt /inheritance:r, но будьте осторожны, вы случайно не удалите свои собственные разрешения при этом.

Затем вы можете удалить пользователя или группу из списков ACL объекта, используя: icacls file.txt /remove:g NTDOMAIN\sAMAccountName, или вы можете указать пользователя / группу, используя UPN (например, bob.smith@activedirectory.example.com).

Когда вы приходите добавлять пользователей / группы в списки управления доступом, вам нужно подумать о том, какие разрешения вы хотите, чтобы они имели. Если full control, это представлено F. Если modify, это представлено M. Read and Execute по буквам RX.

Команда для добавления пользователя / группы в списки ACL: icacls file.txt /grant NTDOMAIN\sAMAccountName:(M) - что предоставит modify разрешения (M) в ту учетную запись / группу, которую мы укажем.

Возможно, вы захотите добавить явных пользователей / группы в ACL перед вы удаляете наследование файла, а не «удаляете все группы из списка ACL файла, а затем назначаете другие группы», потому что это может закончиться удалением вас из ACL и блокировкой вас из него.